在设置“新”NPS服务器和新CA后,我无法让客户端连接到企业-WPA无线网络.在我从NPS / CA服务器手动请求我的客户端上的新证书并尝试连接到无线网络后,他们坐下来“尝试进行身份验证”/“等待网络准备就绪”大约一分钟后才放弃,说他们无法连接.
我的NPS / CA服务器上的日志给出的IAS4142“原因代码”为23 …这在technet documentation on what the various error codes mean中不存在.>:/发生了什么,有谁知道如何修复它?或者从哪里开始排除故障? (谷歌一直没有帮助……发现一些人有同样的问题,但没有解决方案.)
较长的版本,希望包含可以帮助别人帮助我的信息是:
几个星期前,我们举办了一场活动,其中包括从我们在家庭办公室(2k3 R2)的两个“主要”DC中强行夺取FSMO角色.结果,他们离线了,并没有回来.当然,在这样做并解决了眼前的危机后,我们得到的报告显示无线接入不再有效.这是有道理的,当我们回去查看断开连接的前DC时,发现其中一个是我们唯一的IAS服务器,另一个是我们环境中唯一的CA.当然,我们使用WPA企业无线加密,发布到客户端计算机帐户的证书,以及进行身份验证所需的域凭据(懒惰的方式,允许客户端使用他们的登录凭据自动进行身份验证,无需用户交互).所以问题是没有可用于服务请求的RADIUS服务器,并且发行CA无论如何都已经消失了.
当时看起来很好的解决方案是站起来一台新的服务器,并且由于设备的限制,将CA和NPS角色放在上面.我本来希望也能成为DC,但由于其他限制而无法做到.我知道并阅读的所有内容都表明这样会很好.我也有一个滑稽的假设,即我能够以这种方式设置它,而不是对之前设置的所有烦恼.并且,我不想手动重新输入几百个客户端和几十个策略,我在this technet article之后关于如何迁移NPS服务器(和the fix for the incorrect IAS to NPS EAP parameter.主要是.而不是在该部分的0,16,515,我有0,15,521 ..所以我按照指示更正了’0’并继续前进.)
我改变了一些CA加密设置(SHA-1到SHA-512,由于SHA-1现在不安全,以较慢的方式命名为根证书等),在AD中注册了NPS,并认为我是很高兴去.然后我遇到了XP can’t use SHA-2 certs for AAA(&%#^ !!!)的问题,这在我们的客户仍在使用XP时会出现问题.应用该修补程序(提到更新将包含在XP SP4 ……:/),仍然没有乐趣.发现错误代码的工作量比我想承认的要多一些(特别是当我后来注意到安全事件日志中的错误时,所以我浪费了时间来破译那些错误的IAS日志),然后去了谷歌寻求帮助,几乎完全是空的.其他人报告了同样的问题,但似乎没有人知道什么是错的,或者如何解决它. EventLog文本:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 7/16/2012 11:25:37 AM
Event ID: 6273
Task Category: Network Policy Server
Level: information
Keywords: Audit Failure
User: N/A
Computer: [The NPS/CA server]
Description:
Network Policy Server denied access to a user.
Contact the Network Policy Server administrator for more information.
User:
Security ID: [domain\username]
Account Name: [domain\username]
Account Domain: [domain]
Fully Qualified Account Name: [domain\username]
Client Machine:
Security ID: NULL SID
Account Name: -
Fully Qualified Account Name: -
OS-Version: -
Called Station Identifier: 003a.9a18.7671
Calling Station Identifier: 0013.e888.ecef
NAS:
NAS IPv4 Address: [AP's IP]
NAS IPv6 Address: -
NAS Identifier: [AP's name]
NAS Port-Type: Wireless - IEEE 802.11
NAS Port: 1939
RADIUS Client:
Client Friendly Name: [AP's name]
Client IP Address: [AP's IP]
Authentication Details:
Connection Request Policy Name: [Wifi access policy name]
Network Policy Name: [Wifi access policy name]
Authentication Provider: Windows
Authentication Server: [The NPS/CA server.domain.tld]
Authentication Type: PEAP
EAP Type: -
Account Session Identifier: -
Logging Results: Accounting information was written to the local log file.
Reason Code: 23
Reason: An error occurred during the Network Policy Server use of the Extensible Authentication Protocol (EAP). Check EAP log files for EAP errors.
而且,实际上,当我通过日志来获取该错误时,我注意到它就在它之前(相同的时间戳,但在EventLog中的另一个之前)…不确定它意味着什么……我的根证书不好?!?!?
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 7/16/2012 11:25:37 AM
Event ID: 5061
Task Category: System Integrity
Level: information
Keywords: Audit Failure
User: N/A
Computer: [The NPS/CA server]
Description:
Cryptographic operation.
Subject:
Security ID: SYstem
Account Name: [The NPS/CA server]
Account Domain: [domain]
logon ID: 0x3e7
Cryptographic Parameters:
Provider Name: Microsoft Software Key Storage Provider
Algorithm Name: RSA
Key Name: [Root cert created when the CA was installed]
Key Type: Machine key.
Cryptographic Operation:
Operation: Decrypt.
Return Code: 0x80090010
在我做一些激烈的事情之前,[哭]就像重新安装我们的CA和NPS服务器,然后手动配置它……或者购买一堆弹药并开往Remdond [/ cry]有没有人对减少痛苦的措施有任何想法可能有助于解决我的问题?